Connexion
Abonnez-vous

Apple corrige en urgence une importante faille de sécurité

Apple corrige en urgence une importante faille de sécurité

Le 28 avril 2021 à 08h14

Des pirates ont exploité une faille jusqu'alors inconnue, qui leur permettait de contourner la plupart des mécanismes de sécurité sous macOS, afin de pirater un nombre inconnu d'ordinateurs Mac, souligne MotherBoard.

Le bogue leur permettait de créer des logiciels malveillants susceptibles de prendre le contrôle de l'ordinateur d'une victime, en contournant les protections telles que Gatekeeper, File Quarantine et les exigences de notarisation des applications. 

Ces mécanismes empêchent en théorie les fichiers téléchargés à partir d'Internet d'accéder aux fichiers utilisateur à moins qu'ils ne soient signés par des développeurs connus et qu'ils n'aient été vérifiés par Apple pour détecter les logiciels malveillants.

Une victime potentielle devait toujours double-cliquer sur un fichier malveillant, mais macOS n'affichait aucune alerte, aucune invite ni n'empêchait l'exécution de l'application.

Le bogue a été découvert par le chercheur en sécurité Cedric Owens, qui a déclaré l'avoir signalé à Apple le 25 mars. Lundi, Apple a publié un correctif dans la dernière version (11.3) de macOS Big Sur. 

« Cette charge utile est la plus dangereuse que j'ai personnellement rencontrée sur macOS, étant donné qu'elle contourne Gatekeeper, n'est pas en bac à sable, et tout ce que l'utilisateur aurait à faire est de double-cliquer », a expliqué Owens.

« Une analyse plus approfondie nous porte à croire que les développeurs du malware ont découvert la faille zero day, et ajusté leur malware, au début de 2021 », précise Jaron Bradley, de la société de cybersécurité Jamf Protect, spécialiste d'Apple.

Dans son analyse technique, Jamf explique qu'il avait été conçu pour se propager via « les résultats des moteurs de recherche empoisonnés », et qu'il avait été utilisé dans une version mise à jour de Shlayer, un malware conçu pour installer des logiciels publicitaires sur les ordinateurs des victimes.

En 2020, Kaspersky Lab avait déclaré avoir identifié Shlayer dans un ordinateur Mac sur dix surveillé par son antivirus. 

Le 28 avril 2021 à 08h14

Commentaires (40)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Merci pour l’article sur le fond, mais sur la forme… Vous aviez besoin de traduire absolument tout en Français ?



Bogue, charge utile, bac à sable… Le public de NextInpact n’aura aucun problème avec bug, payload, et sandbox hein. Personne n’utilise les termes francisés.

votre avatar

On est sur un site français, c’est donc normal d’utiliser des termes français (hormis les traductions foireuses de l’académie française).



Pas besoin de l’avis de l’académie française. Ils sont à la ramasses.

votre avatar

Sur un site et sujet technique, on pourrait utiliser les termes techniques couramment utilisés et originels, au lieu de toujours vouloir franciser pour rien.



A ce rythme,on ne dira même plus IP (commençons donc à dire adresse pi ,piV4 et PIV6 ).



D’ailleurs ,charge utile ,il m’a fallu un peu de temps pour refaire le lien.

votre avatar

Le terme technique reste technique aussi en français. Il n’y a pas vraiment d’intérêt de reprendre la version en anglais quand on a une version en français, hormis pour se donner un style.




D’ailleurs ,charge utile ,il m’a fallu un peu de temps pour refaire le lien.


Pourtant c’est facile à comprendre.



Après si ça te dérange de lire du français, va directement sur un site anglophone.

votre avatar

Pour ma part, je préfère largement en français. Que ce soit en technique ou dans d’autres domaines, je supporte mal un grand nombre de barbarismes.



Et puis quand un “project leader” de mon client “retail” nous promet une amélioration de “l’expérience digitale”, je me demande s’il faut serrer les fesses ou s’il faut acheter des poppers.

votre avatar

:mdr2:

votre avatar

On peut toujours demander la traduction en anglais de la page. Il existe des gens qui apprécient un article en bon français.

votre avatar

”… à moins qu’ils ne soient signés par des développeurs connus et qu’ils n’aient été vérifiés par Apple pour détecter les logiciels malveillants



Ouais, non, en fait. :transpi: Enfin, c’est vrai pour les applis du App Store, mais pour les applis “seulement” notarisées, Apple ne vérifie rien du tout, à part que la signature est valide. En fait, ils ne voient même pas le code, c’est juste un tampon sur le .app ou le .dmg. Et c’est très bien comme ça, d’ailleurs: si on devait uploader une appli entière chez Apple à chaque nouvelle version, ce serait particulièrement pénible.

votre avatar

eb303 a dit:


“… à moins qu’ils ne soient signés par des développeurs connus et qu’ils n’aient été vérifiés par Apple pour détecter les logiciels malveillants



Ouais, non, en fait. :transpi: Enfin, c’est vrai pour les applis du App Store, mais pour les applis “seulement” notarisées, Apple ne vérifie rien du tout, à part que la signature est valide. En fait, ils ne voient même pas le code, c’est juste un tampon sur le .app ou le .dmg. Et c’est très bien comme ça, d’ailleurs: si on devait uploader une appli entière chez Apple à chaque nouvelle version, ce serait particulièrement pénible.



(reply:1870274:Freud) *téléverser, pardon, pas uploader, c’pas français. :D


votre avatar

Pour info la notarisation consiste en l’upload du binaire à notariser chez Apple.
Apple analyse ce binaire et valide ou non la notarisation.
Si la notarisation est validée le “tampon” de validation peut-être appliqué au binaire.
A partir de là le binaire peut être distribué.
Toute modification du contenu de l’application cassera la validité de la signature et donc du tampon et provoquera l’affichage d’une boite de dialogue spécifiant que l’application est potentiellement dangereuse.
Donc oui il faut uploader à chaque nouvelle version, et Apple ne voit pas le code mais vérifie quand même le binaire et l’utilisation de certaines API proscrites.

votre avatar

Alors, oui, sauf que les APIs “proscrites” ne recouvrent pas grand chose… Pour éviter d’avoir à uploader une grosse appli pour la notariser, on peut sans aucun problème faire un petit utilitaire qui la télécharge et l’installe, et notariser l’utilitaire: ça passe crème, alors que c’est quand même un joli contournement de l’objectif initial (qui m’arrange bien d’ailleurs, donc changez rien, surtout, merci :D ).



Par contre, dans mon cas, à la fois l’utilitaire et l’appli sont signées, et comme tu dis, s’il y a la moindre modif dans l’un ou l’autre, ça ne marchera plus (enfin j’espère, je n’ai jamais eu la curiosité d’essayer :transpi: ).

votre avatar

C’est pour cela que j’avais complété avec un second message. Leur système de “protection” est rempli de trous.
A partir du moment ou l’application est téléchargée par un navigateur ça marche plutôt correctement.
Par contre j’avais sur macOS 10.14 été assez surpris qu’on pouvait supprimer les répertoires de signature/notarisation qui sont dans le bundle de l’application, la copier sur une autre machine avec un scp, puis l’exécuter sans aucun avertissement sur cette autre machine.
Passer par un ISO intermédiaire semble aussi fonctionner.
Mes essais datent un peu, je sais que leurs mécaniques de “protection” évoluent mais ça ne m’étonnerais pas que cela marche encore.

votre avatar

J’avais fait des essais et c’est apparemment le téléchargement effectif qui “marque” l’appli comme “unsafe”, et ça doit faire ça parce que ça passe par les APIs Apple. Donc si c’est ça, un navigateur qui ferait tous ses téléchargements en appelant curl ou wget zapperait toutes les protections… :mad2:



Et la protection est toute bête en plus: c’est un attribut sur le fichier qui s’appelle com.apple.quarantine qui déclenche tout le bousin: vérification de la signature, “translocation” si l’appli est considérée comme “unsafe”, etc… Donc si tu ne veux plus jamais avoir de pb, un petit “xattr -dr com.apple.quarantine Appli.app” dans un terminal sur toutes les applis que tu télécharges et tu fais ce que tu veux après. :youhou:

votre avatar

Oui je savais pour l’attribut, il est mis lorsqu’il y a téléchargement par un navigateur qui respecte les “voeux” d’Apple.
C’est vraiment de la bidouille leur machin.
Mais l’état actuel de cette “techno” ne me dérange pas plus que ça, ça permet à des utilisateurs avancés de continuer de faire ce qu’ils veulent et ça fait peur à Mamie Yvonne qui télécharge n’importe quoi sur Internet.
Le coté dérangeant c’est qu’Apple s’en sert pour faire croire que leur système est super sécurisé, ce qui est faux.

votre avatar

tu n’as pas le droit de faire un navigateur qui n’est pas basé sur la sous couche de safari me semble.

votre avatar

Cette restriction n’existe pas sur Mac mais sur iPhone et iPad.

votre avatar

eb303 a dit:


*téléverser, pardon, pas uploader, c’pas français canadien. :D


:cap: !
Téléverser n’est pas officiellement accepté en france, au québec oui 🙂. À mon grand regret d’ailleurs car je trouve que le mot est pourtant très parlant. Télécharger/Téléverser – Download/Upload. Je ne sais pas pourquoi l’académie ne l’accepte pas 🤷‍♂️

votre avatar

Et pour compléter, la notarisation n’est pas la panacée loin de là. Il y a plein de façons simples de la contourner pour qui sait ce qui active ou non la mécanique en question.

votre avatar

Freud a dit:


Merci pour l’article sur le fond, mais sur la forme… Vous aviez besoin de traduire absolument tout en Français ?



Bogue, charge utile, bac à sable… Le public de NextInpact n’aura aucun problème avec bug, payload, et sandbox hein. Personne n’utilise les termes francisés.


J’approuve.

votre avatar

Freud a dit:


Merci pour l’article sur le fond, mais sur la forme… Vous aviez besoin de traduire absolument tout en Français ?


Tout n’a pas été traduit: il reste App Store, Apple, malware, Motherboard :)



D’ailleurs, le terme payload est tellement nul en anglais que même s’il sonne mal, le terme français est bien meilleur. bug/bogue est nul dans les deux langues.



Bon, on voit que Apple a le vent en poupe: ils passent de nouveau à la casserole sur les pb de sécurité…

votre avatar

eb303 a dit:


Et la protection est toute bête en plus: c’est un attribut sur le fichier qui s’appelle com.apple.quarantine qui déclenche tout le bousin: vérification de la signature, “translocation” si l’appli est considérée comme “unsafe”, etc… Donc si tu ne veux plus jamais avoir de pb, un petit “xattr -dr com.apple.quarantine Appli.app” dans un terminal sur toutes les applis que tu télécharges et tu fais ce que tu veux après. :youhou:


En fait tu fais déjà tout ce que tu veux en suivant les instructions de contournement qui sont indiquées à même la popup. La notarisation n’est pas là pour empêcher les utilisateurs de lancer ce qu’ils veulent, elle permet simplement à Apple d’avoir la possibilité de bloquer une appli malveillante à postériori. Le choix final reste celui de l’utilisateur, mais Apple part du principe que le type qui a dl PenicheEnlarger.app via une bannière sur pr0nhub.xxx s’arrêtera à la popup contraignante et n’ira pas modifier les attributs du fichier téléchargé pour le lancer malgré tout.

votre avatar

(quote:1870382:brice.wernet)
Tout n’a pas été traduit: il reste App Store, Apple, malware, Motherboard :)


Ce sont des noms propres. Sauf malware. Et finalement, c’est dommage, je trouve “maliciel” extrêmement mignon :love:

votre avatar

Cumbalero a dit:


Pour ma part, je préfère largement en français. Que ce soit en technique ou dans d’autres domaines, je supporte mal un grand nombre de barbarismes.



Pareil, je considère en plus que l’usage systématique d’expressions anglaises ou américaines, lorsque l’équivalent français existe et est compris par tous, relève d’un des cas suivants:




  • Les mystificateurs qui se la pètent en étalant leurs mots savant pour montrer qu’ils sont super fort ;

  • Les incompétents qui emploient des mots à la mode sans les comprendre façon loto réunion ou scrable oral (journalistes, hommes politiques) ;

  • Les pros ou assimilés qui ne maîtrisent pas bien le champ sémantique des anglicismes qu’ils utilisent énnormément et se trouvent pris au dépourvu quand ils tombent sur la version française leur donnant le vrai sens.


J’ai des collègues qui ne comprennent pas la différence entre calibration (anglicisme), et ajustage et donnent le sens du second au premier. Bien qu’ingénieurs, ils sont à côté de la plaque.



Par contre, je n’ai rien contre les accronymes en anglais dont certains sont déjà intégrés en français comme laser

votre avatar

Il y a aussi un certain snobisme parfois, comme utiliser “gentrifier” (un barbarisme issu de l’anglais) au lieu d’“embourgeoisement” par exemple. Mais c’est tellement plus moderne!

votre avatar

merci, je me sens moins seul :D
même si je suis pas forcément d’accord avec tous les termes de l’académie, y’en a qui sont très bons, autant s’en servir
(“digital”, mais quelle horreur quand c’est pour dire “numérique”)

votre avatar

Techniquement, si tu veux te la jouer précis, l’ajustage c’est une des 3 possibilités d’action après la 1ere phase de l’etalonnage qui est la comparaison aux étalons.
Donc dire “ajustage” pour calibration c’est ne pas connaître la calibration. Le terme francais correspondant du process de calibration entier c’est “étalonnage”.



Et comme dit plus haut, calibrer ca existe en metrologie (mais effectivement ca ne designe pas l’etalonnage), c’est juste le suffixe -ation qui vient de l’anglais.

votre avatar

Je vois que nous partageaons les mêmes définitions de ces mots.



Relis mon message: A aucun moment je ne dit que calibration et ajustage sont équivalents, bien au contraire.

votre avatar

Pour que les non initiés puissent comprendre :
source : Wikipédia




[Étalonnage (Vocabulaire international de métrologie (VIM), 2008), on rencontre aussi l’anglicisme calibration] : opération qui, dans des conditions spécifiées, établit en une première étape une relation entre les valeurs et les incertitudes de mesure associées qui sont fournies par des étalons et les indications correspondantes avec les incertitudes associées, puis utilise en une seconde étape cette information pour établir un résultat de mesure à partir d’une indication.



La seconde étape consiste à exploiter les résultats de la première. Il peut s’agir de trois actions :




  1. la correction « manuelle » du résultat lu ;

  2. la vérification du matériel ;

  3. l’ajustage [ou calibrage] du matériel.


votre avatar

si je comprend bien, l’étalonnage c’est l’alignement du “0” et du “1” de l’outil de mesure par rapport à un étalon, l’ajustage c’est pour compenser que quand l’outil indique “200”, faut considérer que c’est en fait “198” à cause d’une dérive de l’outil lui même.



très intéressant cette dérive sémantique en partant d’une news apple :D

votre avatar

 



L’étalonnage, c’est juste la comparaison de la mesure avec un étalon (mon thermomètre affiche 1,2°C alors que l’étalonne donne 0,9°C, et 2,5°C alors que l’étalon 3°C, etc.)



L’ajustage c’est de régler mon thermomètre pour qu’il affiche toujours la même chose que l’étalon.



(l’étalonnage peut inclure ou pas la seconde étape).
 



 



Bah euh, si…
étalonnage
ajustage

votre avatar

Là où nos avis divergent est ta phrase “(l’étalonnage peut inclure ou pas la seconde étape).”



Cette notion apparait bien sur l’extrait de Wikipedia que tu as posté mais pas dans la définition du VIM dont tu as donné le lien.



Bref, on n’est pas d’accord. Je propose l’arrêt du squat. :D

votre avatar

C’est écrit noir sur blanc dans la définition de l’étalonnage : « NOTE 3 La seule première étape dans la définition est souvent perçue comme étant l’étalonnage. »

votre avatar

Sauf que la deuxième étape mentionnée dans la défiinition n’est pas l’ajustage mais la caractérisation de la loi de probabilité de l’erreur pour en déduire l’incertitude de mesure de l’appareil sous test.
C’est ce que font les fabricants d’appareils de mesure pour permettre à leurs clients de calculer les incertitudes de mesures mais que les clients ne refont pas quand ils font vérifier l’étalonnage annuellement.

votre avatar

Toujours pas :transpi:
« puis utilise en une seconde étape cette information pour établir une relation permettant d’obtenir un résultat de mesure à partir d’une indication »



L’incertitude fait partie de la première étape :
« dans une première étape une relation entre les valeurs et les incertitudes de mesure associées »

votre avatar

Ce n’est pas du tout ce qui est écrit dans le VIM.
Vous pouvez le trouver en cherchant: JCGM 200:2008. L’information est en page 28.

votre avatar

RedShader a dit:



Après si ça te dérange de lire du français, va directement sur un site anglophone.


Dixit RedShader :langue:

votre avatar

Freud a dit:


Merci pour l’article sur le fond, mais sur la forme… Vous aviez besoin de traduire absolument tout en Français ?



Bogue, charge utile, bac à sable… Le public de NextInpact n’aura aucun problème avec bug, payload, et sandbox hein. Personne n’utilise les termes francisés.


Personnellement, je trouve ça très bien !

votre avatar

wanou a dit:



J’ai des collègues qui ne comprennent pas la différence entre calibration (anglicisme), et ajustage et donnent le sens du second au premier. Bien qu’ingénieurs, ils sont à côté de la plaque.


Le calibrage est un type d’ajustage. Donc donner le sens d’ajustage à calibrage n’est pas totalement faux, l’inverse oui :transpi:



Et le terme calibration n’est un anglicisme que pour le suffixe -ation, pas pour l’usage du terme calibrer, hein ;) (calibrage est tout à fait français)



Dire que des personnes soient à côté de la plaque pour de si petites choses dénote un gros manque de mesure. Mais bon, c’est une des qualités communes aux personnes qui n’acceptent pas d’entendre des termes techniques exprimés en anglais (ou en français pour certains) lorsque l’on parle français.

votre avatar

haelty a dit:



Dire que des personnes soient à côté de la plaque pour de si petites choses dénote un gros manque de mesure.


Seulement d’ajustement :francais:

votre avatar

haelty a dit:


Le calibrage est un type d’ajustage. Donc donner le sens d’ajustage à calibrage n’est pas totalement faux, l’inverse oui :transpi:


Dans le contexte de cartes électroniques et de valeurs analogique, ce sens-là n’est pas possible et ne peut se rapporter qu’à la comparaison avec un calibre donc une limite. Dans ce contexte, le résultat est une sanction conforme/non conforme.




haelty a dit:


Dire que des personnes soient à côté de la plaque pour de si petites choses dénote un gros manque de mesure.


J’aurais pu en effet dire qu’ils s’en foutent en fait. Ils sont à l’aise avec les mots anglais et ne veulent rien savoir, comme les informaticiens qui ont décrété que 1 kilo fait 1024. C’est juste u’e grosse paresse intellectuelle.




haelty a dit:


Mais bon, c’est une des qualités communes aux personnes qui n’acceptent pas d’entendre des termes techniques exprimés en anglais (ou en français pour certains) lorsque l’on parle français.


Si tu préfère l’anglais, tu peux te rendre sur des sites anglophones. Tu risque d’y trouver des gens qui ne supporterons pas tes formulations si tu y glisse du Français.

Apple corrige en urgence une importante faille de sécurité

Fermer